Рубрика развивается при поддержке HP logo Advertisement

Хакер получил доступ к служебным данным и сайтам «МегаФона», исследуя уязвимость в абонентском виджете для «Яндекса» Статьи редакции

Хакер под ником w0rm получил доступ к файловой системе нескольких сайтов «МегаФона» и служебным данным сотрудников оператора. В разговоре с TJ он сообщил, что собранные им данные частично уже были опубликованы в сети из-за невнимательности сотрудников оператора.

По словам w0rm, изначально он купил SIM-карту «МегаФона» и решил поменять пароль к своему личному кабинету, после чего обнаружил, что тот состоит всего из шести цифр. При смене доступа выдавался только другой шестициферный пароль.

Далее w0rm выяснил, что войти в личный кабинет «МегаФона» можно через виджет для главной страницы «Яндекса», который не требует капчи для ввода. При помощи самописного кода на Python хакеру удавалось получить пароль, а соответственно и доступ к личным данным любого абонента — детализации звонков, SMS, ФИО и информации по платежам. За счёт использования многопоточности w0rm мог узнать чужой пароль за 20-30 минут.

Это побудило w0rm проверить ресурсы «МегаФона» на наличие других уязвимостей. Собрав список поддоменов сайта оператора, хакер обнаружил архив с экспортом системы управления проектами Jira, датированный началом 2015 года. По его словам, это удалось сделать наудачу — адрес для его хранения оказался стандартным — и архив до сих пор хранится в открытом доступе: «То есть, грубо говоря, они сами выложили это всё в расчёте, что никто не найдёт, и забыли удалить».

В файле экспорта Jira в том числе обнаружился список используемых сотрудниками «МегаФона» паролей. Часть из них уже устарела, однако перебором найденных вариантов хакер получил коды доступа к ряду служебных ресурсов и адресов электронной почты, на которые приходят отчёты о состоянии серверов.

Например, ему удалось попасть в систему администрирования домена megafon.mobi («МегаФон Почта»), к сборкам приложений с сайта для разработчиков головного офиса «МегаФона», к скрипту для администрирования сервера сайта дилеров дальневосточного филиала компании, а также к документации на сайте HFLabs, в которой разработчики «МегаФона» обсуждают создание системы по актуализации базы данных абонентов.

В «Яндексе» сообщили TJ, что виджеты «МегаФона» уже более полугода не отображаются на главной странице.

Это не уязвимость «Яндекса», данные наших пользователей защищены. Любой разработчик раньше мог создать виджет для главной страницы.

Тестирование виджетов на безопасное обращение к данным своей компании проводится на стороне разработчика. Виджеты «МегаФона» не доступны для установки и более полугода не отображаются у тех пользователей, которые успели их установить.

пресс-служба «Яндекса»

Как пояснил w0rm, он использовал всё ещё работающий метод авторизации через виджет «Яндекса» для уральского филиала «МегаФона», найденный им через поисковик. Хакер заявил, что публично обращался к представителям оператора, но там не отреагировали.

Представители оператора заявили TJ, что не зафиксировали случаев несанкционированного доступа.

Мы регулярно фиксируем попытки получения несанкционированного доступа к инфраструктуре компании. Фактов удачного проникновения не зафиксировано. В настоящее время все внутренние системы защищены от подобных атак, и угрозы сохранности внутренних данных нет.

Сейчас мы проводим дополнительную проверку по фактам сообщений в соцсетях.

пресс-служба «МегаФона»

В мае 2015 года w0rm опубликовал в открытом доступе несколько миллионов паролей пользователя сервиса анонимных мнений «Спрашивай.ру». Представители сайта сбросили коды доступа для пользователей, однако впоследствии заявляли, что эта база датировалась 2014 годом.

В июле 2014 года w0rm взломал сайт англоязычного издания про технологии CNET. Тогда он использовал уязвимость в популярном фреймворке Symphony, но подробности метода атаки раскрывать отказался.

В качестве доказательства хакер опубликовал в открытом доступе архив из системы управления сайтом CNET, но не саму базу данных. За базу данных с контентом сайта он запросил один биткоин. По словам w0rm, его действия имеют социальную миссию: он привлекает внимание специалистов по компьютерной безопасности для устранения ошибок.

{ "author_name": "Никита Лихачёв", "author_type": "self", "tags": ["\u044f\u043d\u0434\u0435\u043a\u0441","\u0445\u0430\u043a\u0435\u0440\u044b","\u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438","\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u043c\u043e\u0431\u0438\u043b\u044c\u043d\u0430\u044f_\u0441\u0432\u044f\u0437\u044c","\u043c\u0435\u0433\u0430\u0444\u043e\u043d","\u0432\u0437\u043b\u043e\u043c\u044b","w0rm"], "comments": 30, "likes": 24, "favorites": 4, "is_advertisement": false, "subsite_label": "tech", "id": 56055, "is_wide": true, "is_ugc": true, "date": "Mon, 31 Aug 2015 17:40:21 +0300", "is_special": false }
Advertisement
0
30 комментариев
Популярные
По порядку
Написать комментарий...

Программный цвет

9

гр

Ответить

Пьяный звук

Андрей
32

Для опоздавших

Ответить

Процессуальный Петя

Пьяный
0

паходу это не баг, это фича)

Ответить

Слышный Петя

Андрей
2

Бгг

Ответить

Действительный космос

Андрей
17
Ответить

Английский томагавк_два

Никита
2

Ждем статью от Елистратова с заголовком "хдр".

Ответить

Замкнутый Слава

Покемон
7
Ответить

Поэтический кавалер

Андрей
12

Не знаю, к чему бы это.

Ответить

Комментарий удален

Комментарий удален

Поэтический

Андрей
0

Да ладно, вы просто хотите собрать в два раза больше плюсов одной и той же картинкой. Яснопонятно всё с вами.

Ответить

Экономический Артем

5

зато теперь в клубе можно не писать "плохой заголовок", "жёлтый заголовок", "слишком длинный заголовок".
Просто гр

Ответить

Северный магнит

4
Ответить

Отечественный Женя

3

Спорим, что вместо премии "За находку", ему попытаются срок пришить?
P.S. Если он конечно об уязвимостях вовремя в Мегафон сообщил.

Ответить

Заработный паркур

4
Ответить

Поэтический кавалер

3

Если он конечно об уязвимостях вовремя в Мегафон сообщил.

Да даже если сообщил, всё равно попытку пришить срок нельзя исключать.

Ответить

Польский череп

0

Он же не гугл, чтобы премии выдавать.

Ответить

Самарский жар

Андрей
1

Если объективно - скорее всего ниточка, которую нащупал хакер - упирается в хренового руководителя отдела или в урезанный бюджет. Так что, если там ничего не изменят, награждать не за что.

Ответить

Локальный магнит

Андрей
0

премии только гугл нынче выдает?

Ответить

Бесплатный

Василий
1

vk еще вроде. И yandex.

Ответить

Привычный колос

2

его действия имеют социальную миссию

он запросил один биткоин.

Угу

Ответить

Ручной алмаз

1

Комментарий удален по просьбе пользователя

Ответить

Поэтический кавалер

DELETED
9

Написал "гр" - собрал плюсов в комментах.

Ответить

Надежный фитиль

1

а от спрашивай.ру пароли так и не слили

Ответить

Действительный космос

Alexander
0

Ну, они были у меня на руках.

Ответить

Удачный татарин

Никита
1

Кто знает. Может, вам w0rm помог их «найти».

Ответить

Электронный калькулятор

Никита
0

Нерабочие

Ответить

Непонятный крюк

0

Никогда не встречал казахских хакеров.

Ответить

Возрастной химик

Артём
0

а как же легендарный WebKill?

Ответить

Нижний ключ

0

😱

Ответить

Северный магнит

0

Представители Мегафона так прокомментировали ситуацию:
- Пшшш.. Мы полностью ... пш ... а вы не .. .. ... Это наше официальное заявление.

Ответить

Поэтический кавалер

Северный
4

«Это всё, что я могу сказать о войне во Вьетнаме» ©

Ответить

Редкий микрофон

0

Комментарий удален по просьбе пользователя

Ответить
Обсуждаемое
Новости
Полиция оценила количество участников митинга в Москве в шесть тысяч человек. СМИ сообщают о 25 тысячах
В Петербурге МВД насчитало 4,5 тысячи протестующих.
Новости
Путин объявил о точечных выплатах семьям, беременным женщинам и школьникам
Список.
Новости
Минтруд получил предложение продлить майские праздники и пообещал его обсудить
Одно из предложений, ранее описываемых в СМИ, подразумевает выходные с 1 по 10 мая.
Популярное за три дня
Новости
Росстат отложил публикацию данных о реальных доходах россиян перед посланием Путина
Ранее данные о доходах публиковались строго по графику.
Наука
Калифорнийские учёные создали пластик, который полностью разлагается в воде или компостной яме
Из него уже можно делать экологически чистую упаковку для еды и пластиковую посуду.
Интернет
Пользователи соцсетей заподозрили сайт Госуслуг в сливе данных сторонников ФБК
По их словам, в интернете оказались данные, которые они указывали только на сайте или при обращении в госучреждения.

Комментарии

null